Come cambia, anzi come è già cambiata, la figura del Ciso con l’intelligenza artificiale

L’intelligenza artificiale nel campo della sicurezza informatica? È un’arma che può fare (e in vari ambiti sta già facendo) la fortuna di chi difende e allo stesso tempo uno strumento che può aumentare la pericolosità di chi attacca. Gli algoritmi di machine learning e i modelli di linguaggio di grande formato alla base della Gen AI, in altre parole, sono sicuramente un jolly in mano a qualsiasi organizzazione per meglio gestire il rischio di incidenti (anche in chiave preventiva) ma anche una risorsa per i cybercriminali per diversificare ulteriormente il fronte delle minacce, e questa loro duplice veste sta rimodellando rapidamente il panorama della cybersecurity e chiedendo a chi di mestiere fa il Chief Information Security Officer di adattarsi per tenere il passo. Siamo quindi in un momento di grande evoluzione dello scenario e l’unica certezza, per le figure che si occupano di security, è quella che la proliferazione dell’AI in azienda è costante (stando al “Global AI Adoption Index 2022” redatto da Ibm, il 35% utilizza attualmente soluzione di intelligenza artificiale e il 42% ne sta valutando l’utilizzo) e ha implicazioni di vasta portata a livello individuale e di organizzazione. Con una difficoltà in più per i Cio e i Ciso che non va sottovalutata: in relazione alla crescente disponibilità e all’uso sempre più pervasivo di questa tecnologia non tutti i possibili impatti sono oggi conosciuti.

Cosa fa un Chief Information Security Officer

L’AI, come spiegano diversi rapporti dedicati al tema, può avere influenza su ognuna delle diverse funzioni che caratterizzano la figura del Ciso, dalla governance della sicurezza alla gestione del rischio e delle conformità, dai test per verificare le potenziali vulnerabilità ai sistemi di protezione di reti, sistemi e applicazioni. La prima prova da affrontare è quindi capire come l’intelligenza degli algoritmi usata in modo malevolo possa fare breccia e provocare danni all’infrastruttura dell’azienda e mettere a repentaglio l’integrità dei dati. C’è una sfumatura non risibile che rende particolarmente importante il ruolo dei manager della cybersecurity: rispetto al recente passato, non operano più in una sorta di silo separato dal resto dell’azienda ma stanno acquisendo, con l’accelerazione dei progetti di trasformazione digitale, una dimensione di leadership strategica all’interno dell’organizzazione, collaborando a stretto contato con il board. Da un ruolo prettamente operativo, insomma, il Ciso è chiamato a recitare su un piano più elevato (e anche complesso), di architetto e gestore ad ampio spettro della sicurezza: l’avvento dell’AI generativa cambierà molte carte in gioco ma non andrà però a modificarne la responsabilità principale, che rimane quella di comprendere e bilanciare le criticità e i benefici che derivano dalle nuove tecnologie ed essere molto veloci nel trovare ed applicare le soluzioni più vantaggiose per la propria organizzazione. Il punto focale della questione, secondo vari esperti, è che tutte le funzioni dell’azienda (dalle Hr al marketing passando per l’ufficio legale) siano consapevoli del ruolo del Ciso nel nuovo mondo pilotato dall’AI.

L’AI prenderà il comando della cybersecurity?

Il termine forse più corretto per descrivere l’attuale fra Ciso e intelligenza artificiale generativa è “sperimentazione”. I team di security sono insomma al lavoro per esplorare e testare le potenzialità di tecnologie come GPT-4 e GitHub Copilot (applicazione in cloud creata da GitHub e OpenAI per assistere chi opera negli ambienti di sviluppo) e uno dei primi utilizzi delle stesse riguardano le attività di brainstorming dei team di analisti e ingegneri. Siamo dunque agli inizi, ma c’è già chi vede l’AI pronta a prendere (nel futuro prossimo) il comando della cybersecurity in azienda. Man mano che l’intelligenza artificiale diventa più abile nell’affinare le proprie risposte e persino nel creare nuovi modelli (combinando le risposte create dai modelli LLM con con nuove query autogenerate da affinare e migliorare nel tempo) è anche possibile che gli esseri umani (e nello specifico gli addetti dei team di security) diventino gli assistenti dell’AI: scenario fantascientifico e irrealistico? Lo scopriremo negli anni a venire. Nel presente, e qui siamo nell’ordine delle cose certe o quasi, i Ciso hanno bisogno già oggi di più talenti per utilizzare al meglio questa tecnologia e per garantire che la stessa venga sfruttata nel modo giusto all’interno dell’organizzazione (pensiamo per esempio alle applicazioni di AI caricate sui notebook dei manager di una determinata azienda).

Un’arma a doppio taglio: come prepararsi

L’AI, come abbiamo detto, ha una duplice valenza in fatto di sicurezza (aiuta i difensori come gli attaccanti) e ha anche il potere di incidere sul lavoro di un Ciso in due direzione, una che rende per alcuni aspetti più facile il suo operato e una seconda che invece lo rende per altri aspetti più difficile. L’esempio in positivo lo abbiamo già sentito e raccontato più volte: grazie alla potenza degli algoritmi e del machine learning i cosiddetti Soc (Security operation center) delle aziende della sicurezza hanno più strumenti per fare lo screening delle migliaia di avvisi di minacce in arrivo ogni giorno, lasciando all’AI i compiti di analisi più ripetitivi e liberando nel contempo risorse (umane) per altre attività a valore aggiunto. Per contro, l’AI nelle mani dei cybercriminali aiuta a scrivere un’e-mail di phishing perfetta e a identificare i punti deboli di un sistema in pochi secondi, a creare malware più sofisticati e resilienti e a portare una qualità di innovazione negli attacchi che le persone difficilmente riuscirebbero a sviluppare. La convinzione di molti addetti ai lavori è che i Ciso dovranno “convivere” con questa doppia anima dell’AI per parecchio tempo, trovando le giuste risposte per gestire l’impatto di questa tecnologia nell’immediato e prepararsi nel frattempo a capire come questa influirà sulle loro attività (e responsabilità) in futuro. Fermo restando un concetto: ciò che per un Chief Information Security Officer e la propria azienda funziona può non funzionare per un’altra. Come utilizzare l’AI in modo efficace e responsabile e come mitigare i rischi interni ed esterni associati alla sua applicazione sono domande che continueranno ad evolversi, di pari passo con l’ulteriore sviluppo di questa tecnologia.